Більше
Навігація
ГЛАВА I Загальні положення (1-4)
Стаття 1. Предмет і ціліСтаття 2. Матеріальна сфера діїСтаття 3. Територіальна сфера діїСтаття 4. Терміни та означення
ГЛАВА II Принципи (5-11)
Стаття 5. Принципи опрацювання персональних данихСтаття 6. Законність опрацюванняСтаття 7. Умови надання згодиСтаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільстваСтаття 9. Опрацювання спеціальних категорій персональних данихСтаття 10. Опрацювання персональних даних про судимості і кримінальні злочиниСтаття 11. Опрацювання, що не вимагає ідентифікації
ГЛАВА III Права суб'єкта даних (12-23)
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта данихСтаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта данихСтаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта данихСтаття 15. Право суб'єкта даних на доступСтаття 16. Право на виправленняСтаття 17. Право на стирання ("право бути забутим")Стаття 18. Право на обмеження опрацюванняСтаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацюванняСтаття 20. Право на мобільність данихСтаття 21. Право на запереченняСтаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінгСтаття 23. Обмеження
ГЛАВА IV Контролер і оператор (24-43)
Стаття 24. Предмет і ціліСтаття 25. Захист даних за призначенням і за замовчуваннямСтаття 26. Спільні контролериСтаття 27. Представники контролерів або операторів, які не мають осідків у СоюзіСтаття 28. ОператорСтаття 29. Опрацювання під керівництвом контролера або оператораСтаття 30. Записи опрацювання данихСтаття 31. Співпраця із наглядовим органомСтаття 32. Безпека опрацюванняСтаття 33. Нотифікація наглядового органу про порушення захисту персональних данихСтаття 34. Повідомлення суб'єкта даних про порушення захисту персональних данихСтаття 35. Оцінювання впливу на захист даних
Стаття 36. Попередня консультація
Стаття 37. Призначення співробітника з питань захисту данихСтаття 38. Позиція співробітника з питань захисту данихСтаття 39. Завдання співробітника з питань захисту данихСтаття 40. Кодекс поведінкиСтаття 41. Моніторинг затверджених кодексів поведінкиСтаття 42. СертифікаціяСтаття 43. Органи сертифікації
ГЛАВА V Передавання персональних даних до третіх країн або міжнародних організацій (44-50)
Стаття 44. Загальні принципи передаванняСтаття 45. Передавання на підставі рішення про відповідністьСтаття 46. Передавання з урахуванням належних гарантійСтаття 47. Зобов'язальні корпоративні правилаСтаття 48. Передавання або розкриття, не дозволені законодавством СоюзуСтаття 49. Відступи для спеціальних ситуаційСтаття 50. Міжнародна співпраця у сфері захисту персональних даних
ГЛАВА VI Незалежні наглядові органи (51-59)
Стаття 51. Наглядовий органСтаття 52. НезалежністьСтаття 53. Загальні умови для членів наглядового органуСтаття 54. Правила заснування наглядового органуСтаття 55. КомпетенціяСтаття 56. Компетенція керівного наглядового органуСтаття 57. ЗавданняСтаття 58. ПовноваженняСтаття 59. Звіти про виконану роботу
ГЛАВА VII Співпраця і послідовність (60-70)
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органамиСтаття 61. Взаємна допомогаСтаття 62. Спільні операції наглядових органівСтаття 63. Механізм послідовностіСтаття 64. Висновок РадиСтаття 65. Врегулювання спорів РадоюСтаття 66. Екстрена процедураСтаття 67. Обмін інформацієюСтаття 68. Європейська рада із захисту данихСтаття 69. НезалежністьСтаття 70. Завдання РадиСтаття 71. ЗвітиСтаття 72. ПроцедураСтаття 73. ГоловаСтаття 74. Завдання ГоловиСтаття 75. СекретаріатСтаття 76. Конфіденційність
ГЛАВА VIII Засоби правового захисту, відповідальність і санкції (77-84)
Стаття 77. Право на подання скарги до наглядового органуСтаття 78. Право на дієвий судовий засіб правового захисту проти наглядового органуСтаття 79. Право на дієвий судовий засіб правового захисту проти контролера або оператораСтаття 80. Представництво суб'єктів данихСтаття 81. Призупинення провадженняСтаття 82. Право на відшкодування та відповідальністьСтаття 83. Загальні умови для накладання адміністративних штрафівСтаття 84. Санкції
ГЛАВА IX Положення про спеціальні ситуації опрацювання (85-91)
Стаття 85. Опрацювання і свобода вияву поглядів та свобода інформаціїСтаття 86. Опрацювання та доступ громадськості до офіційних документівСтаття 87. Опрацювання національного ідентифікаційного номеруСтаття 88. Опрацювання в контексті зайнятостіСтаття 89. Гарантії та відступи, що стосуються опрацювання для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілейСтаття 90. Обов'язки збереження таємниціСтаття 91. Чинні правила захисту даних церков і релігійних асоціацій
ГЛАВА X Делеговані акти та імплементаційні акти (92-93)
Стаття 92. Здійснення делегуванняСтаття 93. Процедура Комітету
ГЛАВА XI Прикінцеві положення (94-95)
Стаття 94. Скасування Директиви 95/46/ЄССтаття 95. Взаємозв'язок із Директивою 2002/58/ЄССтаття 96. Взаємозв'язок із попередньо укладеними УгодамиСтаття 97. Звіти КомісіїСтаття 98. Перевірка застосування інших нормативно-правових актів Союзу щодо захисту данихСтаття 99. Набуття чинності та застосування
GDPR > Стаття 36. Попередня консультація
Завантажити в PDF

Стаття 36 GDPR. Попередня консультація

1. Контролер повинен надати консультацію наглядовому органу до початку здійснення опрацювання, якщо оцінка впливу на захист даних за статтею 35 свідчить про те, що опрацювання призведе до виникнення високого ризику в разі відсутності заходів, які вживає контролер для зниження ризику.

Пов'язані норми
Пов'язані норми

2. Якщо наглядовий орган вважає, що заплановане опрацювання, вказане в параграфі 1, може порушити цей Регламент, зокрема, якщо контролер недостатньо ідентифікував або знизив ризик, наглядовий орган, протягом періоду до восьми тижнів після отримання запиту на консультацію, повинен надати контролеру письмові рекомендації та, в разі необхідності, оператору, а також може використовувати будь-які свої повноваження, вказані в статті 58. Цей період може бути подовжено на шість тижнів, з огляду на складність запланованого опрацювання. Наглядовий орган інформує контролера та, в разі необхідності оператора, про будь-яке таке подовження протягом одного місяця з дати отримання запиту на консультацію разом з інформацією про причини такої затримки. Такі періоди може бути призупинено до отримання наглядовим органом інформації, яку він запитував для цілей консультації.

Пов'язані норми
Пов'язані норми

3. Надаючи консультацію наглядовому органу відповідно до параграфа 1, контролер повинен надати наглядовому органу:

(a) в разі необхідності, інформацію про відповідні обов’язки контролера, об’єднаних контролерів і операторів, залучених до опрацювання, зокрема, для опрацювання в межах групи підприємств;

(b) цілі та засоби запланованого опрацювання;

(c) засоби та гарантії, передбачені для захисту прав і свобод суб’єктів даних відповідно до цього Регламенту;

(d) в разі необхідності, контактні дані співробітника з питань захисту даних;

(e) оцінку впливу на захист даних, передбачену в статті 35; і

Пов'язані норми
Пов'язані норми

(f) будь-яку іншу інформацію, яку запитує наглядовий орган.

4. Держави-члени повинні надати наглядовому органу консультацію під час підготування пропозиції для законодавчого інструменту, який повинен ухвалити національний парламент, або регуляторного інструменту на підставі такого законодавчого інструменту, що стосується опрацювання.

5. Без обмеження положень параграфа 1, законодавство держав-членів може вимагати від контролерів проводити консультації та отримувати попередній дозвіл від наглядового органу щодо опрацювання контролером для реалізації завдання, яке виконує контролер для цілей суспільного інтересу, в тому числі, опрацювання в сфері соціального захисту і охорони суспільного здоров’я.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

ISO 27701 Преамбули Залишити коментар
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.2.

Here is the relevant paragraph to article 36 GDPR:

5.2.2 Understanding the needs and expectations of interested parties

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) […]


to read the full text

Преамбули

(94) Якщо у ході оцінювання впливу на захист даних виявляється, що опрацювання, за відсутності гарантій, заходів безпеки та механізмів зниження ризику, створить високий ризик для прав і свобод фізичних осіб, і контролер вважає, що ризик не можна знизити розумними засобами з огляду на наявну технологію та витрати на реалізацію, необхідно провести консультацію з наглядовим органом до початку опрацювання даних. Такий високий ризик, імовірно, є результатом окремих типів опрацювання даних, масштабів і періодичності опрацювання, що може також призвести до нанесення шкоди чи втручання в права та свободи фізичної особи. Наглядовий орган повинен відповісти на запит щодо консультації протягом визначеного строку. Проте відсутність реакції наглядового органу протягом такого строку не повинна обмежувати втручання наглядового органу згідно з його завданнями та повноваженнями, встановленими цим Регламентом, в тому числі, повноваженням забороняти операції опрацювання. Як частину такого консультаційного процесу, результати оцінювання впливу на захист даних, проведеного у зв'язку з відповідним опрацюванням, можна подати до наглядового органу, а саме, інформацію щодо заходів, передбачених для зниження ризику для прав і свобод фізичних осіб.

(95) Оператор повинен надавати допомогу контролеру, за необхідності та на запит, у забезпеченні відповідності зобов'язанням, що виникають в результаті проведення оцінювань впливу на захист даних та попередньої консультації з наглядовим органом.

(96) Консультацію наглядового органу необхідно також проводити під час підготування законодавчого чи регуляторного інструменту, що передбачає опрацювання персональних даних, для того, щоб забезпечити відповідність призначеного опрацювання цьому Регламенту та, зокрема, знизити ризик для суб'єкта даних.

Залишити коментар
[js-disqus]